CallstackSpoofingPOC 项目下载及安装教程

1. 项目介绍

CallstackSpoofingPOC 是一个基于 C++ 的自注入式下载器，专注于通过各种 EDR（Endpoint Detection and Response）规避技术来实现恶意软件的隐藏和执行。该项目结合了 Windows 线程池技术来隐藏调用栈，并使用间接系统调用来避免在 NTDLL 中被钩住。尽管这种行为可能被视为恶意，但从防病毒软件（AV）的角度来看，NTDLL 调用自身的一部分代码并不被认为是恶意的。

2. 项目下载位置

要下载 CallstackSpoofingPOC 项目，请访问项目的 GitHub 仓库。你可以通过以下步骤进行下载：

1. 打开命令行工具（如 Git Bash 或终端）。
2. 输入以下命令来克隆项目仓库：

git clone https://github.com/pard0p/CallstackSpoofingPOC.git

3. 项目安装环境配置

在安装 CallstackSpoofingPOC 项目之前，你需要确保你的开发环境已经配置好以下工具和库：

• C++ 编译器：如 GCC 或 Clang。
• NASM 汇编器：用于编译汇编代码。
• Windows SDK：用于访问 Windows API。

环境配置示例

以下是配置环境的步骤示例：

1. 安装 C++ 编译器：

   • 在 Windows 上，你可以安装 MinGW 或 Visual Studio。
   • 在 Linux 上，你可以使用 sudo apt-get install g++ 来安装 GCC。

2. 安装 NASM 汇编器：

   • 在 Windows 上，你可以从 NASM 官方网站下载并安装。
   • 在 Linux 上，你可以使用 sudo apt-get install nasm 来安装 NASM。

3. 安装 Windows SDK：

   • 在 Windows 上，你可以通过 Visual Studio 安装程序来安装 Windows SDK。

环境配置图片示例

4. 项目安装方式

安装 CallstackSpoofingPOC 项目的步骤如下：

1. 克隆项目仓库：

   • 使用 git clone 命令克隆项目仓库到本地。

2. 编译项目：

   • 进入项目目录：

     cd CallstackSpoofingPOC
     

   • 使用 NASM 编译汇编代码：

     nasm -f win64 Assembly.asm -o Assembly.obj
     

   • 使用 C++ 编译器编译主程序：

     g++ -o poc.exe main.cpp Assembly.obj
     

3. 运行项目：

   • 编译完成后，你可以通过以下命令运行项目：

     ./poc.exe
     

5. 项目处理脚本

CallstackSpoofingPOC 项目包含以下主要处理脚本：

• main.cpp：主程序文件，负责调用汇编代码并执行自注入逻辑。
• Assembly.asm：汇编代码文件，包含系统调用和线程池相关的逻辑。
• Callbacks.h 和 PEB.h：头文件，定义了项目中使用的回调函数和 PEB（Process Environment Block）相关的结构。

这些脚本共同工作，实现了项目的核心功能。

---

通过以上步骤，你应该能够成功下载、配置和安装 CallstackSpoofingPOC 项目。如果你在安装过程中遇到任何问题，请参考项目的 README 文件或联系项目维护者获取帮助。